Iron Bars SHell, or short ibsh is my first attempt to create a restricted working environment for Linux/Unix. I’m sure that many system administrators wish or have wished for a way to lock some/all users into a safe dungeon, where they can only do harm to their own files. Even more important is the protection against users reading sensitive files, for example the /etc/passwd file, which is accessible for any person with an unrestricted shell. But many system files may be listed here. Users could easily gain information, that could help malicious hackers to compromise the system, the network, the company.
Many attempts have already been made to fix this problem. Menu-based and other interactive shells have been created, but they were not able to completely satisfy worried system administrators. The amount of documents available at various security sites about how to bypass restrictions, how to hack through these shells and gain full access, shows, that ANY experienced Linux user is able to cause big problems.
Категорія: Security
Категорії
openvpn: Ignoring redirect-gateway
If you are running OpenVPN as a client, and the server you use is using push “redirect-gateway” then your client redirects all internet traffic over the VPN. Sometimes clients do not want this, but they can not change the server’s configuration. This page explains how to override redirect-gateway so the client does not need to redirect internet even though the server says to.
ipfw
add allow all from any to 192.168.2.0/24 via ${natd_interface} mac aa:bb:cc:dd:ee:ff any
pf
(только OpenBSD)
в консоли:
# ifconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1
в pf.conf:
pass in on fxp0 tagged USER1
ipf
Нельзя сделать
iptables
/sbin/iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
Что имеем: есть сервер (8Гб памяти, Intel(R) Xeon(R) CPU E31220 @ 3.10GHz) FreeBSD 8.4 Release amd64, сайт на php5.2, nginx+apache+mysql.
Перейти полностью на php-fpm не получилось, поэтому пришлось защищаться как есть. Это поможет отразить небольшую syn flood атаку.
Ниже будет приведены выполненные действия для отражения атак.
Недавно, на один из старых серверов (там крутилась FreeBSD 7.3) пришла абуза от хостера, что на сервере замечен rootkit. Была информация, что при любом логине (а как позже оказалось, вообще при любой попытке, даже неудачной) на сервер он отправляет login/pass/ip на сервер злоумышленника в виде хитрого DNS запроса.
Недавно сообщалось, что такой руткит был найден на серверах с linux (там была протроянена либа libkeyutils.so). Гугление показало, что такого руткита для FreeBSD и в помине нет (а может плохо гуглил).
UPD: а вот похоже и оно
Тестовый стенд: Centos 6.2 (kernel 2.6.32-220.4.2.el6.x86_64), apache+php+mysql
Имеем очень много соединений с состоянием SYN_RECV (syn flood):
$netstat -ntu
...
tcp 0 0 XX.XX.XX.XX:80 202.51.102.34:40700 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 190.225.143.29:40123 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 101.255.71.7:38725 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 122.226.122.201:48952 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 186.91.63.97:44343 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 109.230.156.97:56149 SYN_RECV
...
Как с ними бороться?
Категорії
Анонимный squid
Что бы ваш squid не определялся как прокси-сервер, добавляем в конфиг такое:
squid 3.1
forwarded_for delete
request_header_access X-Cache deny all
request_header_access X-Cache-Lookup deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
squid 3.0 и раньше
forwarded_for off
header_access X-Cache deny all
header_access X-Cache-Lookup deny all
header_access X-Forwarded-For deny all
header_access Forwarded-For deny all
header_access Via deny all
После этого сделать squid -k reconfigure и почистить куки, кешь в браузере.
Адресный пул представляет собой два или более интерфейсов, которые используются совместно группой пользователей. Адресный пул может быть указан в качестве целевого адреса в директивах nat-to, rdr-to, route-to, reply-to, и в дерективе dup-to в качестве опций фильтра (filter).
Категорії
Mosh – mobile shell
Mosh — замена(или дополнение) SSH. Он быстрее и отзывчивее, особенно на линках с высокой задержкой, например, в мобильных сетях. Набираете символ, и моментально видите его на экране, так же, как и в локальном терминале. Почему? Потому, что в Mosh реализован так называемый local line editing, который не дожидается ответа от сервера, а сразу все отображает на экране. Работает даже в полноэкранных приложениях, вроде vim или emacs. И это далеко не единственный плюс!
Категорії
Повышаем безопасность ssh
Опишу простые приёмы, которые повышают безопасность ssh. Не обязательно применять именно все рекомендации (некоторые вообще могут не подходить для ваших целей), но желательно как можно больше
